CISA警告Broadcom VMware vCenter漏洞遭利用
发布时间 2026-01-271. CISA警告Broadcom VMware vCenter漏洞遭利用
1月24日,美国网络安全和基础设施安全局(CISA)近日将Broadcom VMware vCenter Server的严重漏洞CVE-2024-37079(CVSS评分9.8)纳入已知利用漏洞(KEV)目录。该漏洞源于vCenter Server对DCERPC协议实现的堆溢出缺陷,攻击者通过网络访问即可发送特制数据包触发漏洞,实现远程代码执行或权限提升。vCenter Server是VMware开发的虚拟化环境集中管理平台。2024年6月,VMware修复了CVE-2024-37079及关联漏洞CVE-2024-37080,二者均被评估为“严重”级别。博通公司随后确认,CVE-2024-37079已遭实际利用,但具体攻击细节尚未公开。在2025年亚洲黑帽大会上,研究人员披露CVE-2024-37079实为四个DCE/RPC漏洞链的一部分,包括三个堆溢出漏洞和一个权限提升漏洞。其中两个相关漏洞已于2024年9月修复,而特定堆溢出漏洞可与CVE-2024-38813结合,在ESXi主机上获取远程root权限。研究人员强调,通过组合利用这些漏洞,他们成功在2024年Matrix Cup漏洞挑战赛中实现未经授权的远程root访问。
https://securityaffairs.com/187267/security/u-s-cisa-adds-a-flaw-in-broadcom-vmware-vcenter-server-to-its-known-exploited-vulnerabilities-catalog.html
2. 11年未修复的GNU Telnetd高危漏洞遭协同攻击
1月23日,近日,一个存在长达11年的GNU InetUtils telnetd服务器严重漏洞(CVE-2026-24061)被曝遭协同攻击。该漏洞源于telnetd未清理用户控制的USER环境变量,攻击者可设置USER=-f root并通过telnet -a命令连接,直接绕过身份验证获取root权限。漏洞影响2015年发布的1.9.3至2.7版本,2.8版本已修复,无法升级的用户可通过禁用服务或封锁TCP 23端口缓解。GNU InetUtils是GNU项目维护的经典网络工具集,包含telnet/ftp等客户端和服务器,广泛应用于Linux发行版。尽管Telnet因安全性差被SSH取代,但在工业物联网、摄像头、传感器及OT网络中仍普遍存在,这些设备常因兼容性或升级需重启而长期运行旧版系统。Zerotak公司指出,OT/ICS环境中关键系统替换困难,遗留设备导致Telnet难以完全淘汰。威胁监控公司GreyNoise检测到针对该漏洞的攻击活动:1月21-22日,18个攻击IP通过60次Telnet会话发起100%恶意攻击,发送1525个数据包(总计101.6KB)。攻击利用Telnet IAC选项协商机制注入"USER=-f "参数,83.3%的目标是root用户。
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-telnetd-auth-bypass-flaw-to-get-root/
3. Stanley新型MaaS通过Chrome商店分发钓鱼扩展
1月26日,一种名为"Stanley"的新型恶意软件即服务(MaaS)近日引发安全界关注,该服务通过Chrome网上应用商店分发恶意扩展程序实施网络钓鱼攻击。据端到端数据安全公司Varonis研究,Stanley由化名相同的卖家开发,其核心功能是在用户浏览器中覆盖全屏iframe显示钓鱼内容,同时保持地址栏显示合法域名以增强欺骗性。该MaaS服务支持Chrome、Edge和Brave浏览器静默自动安装,并提供定制化功能。其订阅模式包含多个层级,最高级的"Luxe套餐"配备Web控制面板,支持将恶意扩展直接发布至Chrome应用商店。Stanley的攻击机制通过拦截页面导航并用iframe覆盖网页实现,操作人员可通过控制面板实时启用/禁用劫持规则,甚至直接向受害者浏览器推送通知诱导访问特定页面。技术层面,Stanley每10秒执行C2轮询并支持备份域轮换以增强抗封锁能力。其代码存在俄语注释、空catch块和不规范错误处理等问题,被评价为"技术粗糙"。但真正使其脱颖而出的是其独特的分发策略,利用Chrome应用商店作为可信平台绕过常规审核流程。
https://www.bleepingcomputer.com/news/security/new-malware-service-guarantees-phishing-extensions-on-chrome-web-store/
4. 伪造CAPTCHA与App-V脚本传播Amatera窃密程序
1月26日,一项结合ClickFix方法、伪造CAPTCHA及已签名Microsoft App-V脚本的新型恶意攻击正传播Amatera信息窃取恶意软件。据BlackPoint Cyber研究,攻击始于伪造的CAPTCHA验证,诱导受害者通过Windows运行对话框执行恶意命令。这些命令滥用合法的SyncAppvPublishingServer.vbs脚本,通过受信任的wscript.exe执行PowerShell代码,实现恶意活动隐蔽化。该攻击首次在ClickFix场景中集成App-V脚本。攻击流程包含多阶段验证:初始命令会检查是否手动执行、执行顺序是否合规及剪贴板内容是否被篡改,以规避沙箱检测。若发现分析环境,执行将无限期暂停以消耗自动化分析资源。满足条件后,恶意软件从Google日历文件中检索base64编码的配置数据,通过WMI框架生成隐藏的32位PowerShell进程,将嵌套有效载荷解密并加载至内存。后续阶段采用隐写术:加密的PowerShell有效载荷嵌入公共CDN托管的PNG图像,通过WinINet API动态提取,经LSB隐写术解析、GZip解压后内存执行。最终阶段解密并启动原生shellcode,映射执行Amatera窃密程序。
https://www.bleepingcomputer.com/news/security/new-clickfix-attacks-abuse-windows-app-v-scripts-to-push-malware/
5. 多尔马卡巴门禁系统漏洞或致远程开门
1月26日,近日,多尔马卡巴(Dormakaba)物理门禁系统被曝存在严重安全漏洞,可能使黑客远程打开大型机构大门。该漏洞由Atos旗下Eviden公司的网络安全咨询公司SEC Consult专家发现,影响范围涵盖Dormakaba的Exos中央管理软件、硬件访问管理器及支持键盘、指纹、芯片卡访问的注册单元等核心产品。研究团队共发现20余个漏洞类型,包括硬编码凭据与加密密钥、弱密码、身份验证缺失、不安全密码生成、本地权限提升、数据泄露、路径遍历及命令注入等。这些漏洞主要被欧洲大型企业使用,涉及工业公司、能源供应商、物流企业及机场运营商等高安全需求场景。SEC Consult指出,攻击者若利用这些漏洞,可直接解锁门禁、窃取访问PIN码,或在受控环境中发起进一步攻击。Dormakaba透露,可能数千名客户受影响,其中部分高安全需求客户风险尤为突出。Dormakaba在过去一年半内持续发布补丁及加固指南,并与主要客户合作修复系统漏洞,同时表示尚未发现实际利用案例。
https://www.securityweek.com/access-system-flaws-enabled-hackers-to-unlock-doors-at-major-european-firms/
6. Crunchbase遭ShinyHunters攻击致超200万条数据泄露
1月26日,近日,企业数据平台Crunchbase证实发生严重数据泄露事件。网络犯罪组织ShinyHunters宣称从其系统中窃取了超过200万条个人记录,因勒索未果,该组织在Tor暗网网站泄露了包含402MB数据的压缩文件。Crunchbase回应称,此次安全事件未对业务运营造成干扰,目前漏洞已得到控制,系统安全状态已恢复。据Crunchbase披露,事件发生后,公司立即聘请网络安全专家协助调查,并已通知联邦执法部门。作为事件响应流程的一部分,Crunchbase正在审查泄露数据的具体内容,以确定是否需要依据相关法律要求向受影响用户发送正式通知。该公司强调,攻击者发布的文件包含企业网络中的特定信息,但核心业务系统未受实质性影响。值得注意的是,ShinyHunters组织近期重启了其Tor数据泄露站点,将Crunchbase与SoundCloud、Betterment共同列入"数据泄露受害者名单",后两家公司此前均已证实遭遇类似攻击。
https://securityaffairs.com/187340/data-breach/shinyhunters-claims-2-million-crunchbase-records-company-confirms-breach.html
京公网安备11010802024551号